Wirtschaft 03/2012

Europäische Datenschutzverordnung - Bogen überspannt

Die Europäische Kommission plant, das europäische Datenschutzrecht zu modernisieren und zu harmonisieren. Ihr Bestreben, über eine sehr kleinteilige EU-Verordnung einheitliche Regelungen für alle Mitgliedsstaaten zu schaffen, stößt jedoch hierzulande bei Wirtschaft wie Politik auf Gegenwehr.


Wenn Produktionsmaschinen nicht mehr den Ansprüchen ihrer Besitzer genügen, werden sie über kurz oder lang durch neue, leistungsfähigere ausgetauscht. Ähnlich verhält es sich mit Gesetzen: Greifen deren Vorschriften zu kurz und können sie mit den neuesten Entwicklungen nicht Schritt halten, ist es an der Zeit, sie zu reformieren. So gesehen war es nicht überraschend, dass die EU-Vizekommissionsvorsitzende und EU-Justizkommissarin Viviane Reding Ende Januar einen Entwurf der Kommission zur Modernisierung des Datenschutzrechts präsentierte. Immerhin stammt die europäische Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995, und ist mit ihren 16 Jahren im digitalen Zeitalter bereits steinalt. Zudem hatte Reding schon gut ein Jahr zuvor angekündigt, dass es überfällig sei, den aus unterschiedlichen Einzelvorschriften bestehenden EU-Datenschutz-„Flickenteppich“ auszutauschen.

Mit so einem Werk allerdings hatten zumindest in Deutschland, das in der EU zu den Datenschutzvorreitern gehört, offensichtlich die Wenigsten gerechnet: Einer EU-Verordnung, die den Mitgliedstaaten im Gegensatz zu einer Richtlinie kaum Spielraum bei der Umsetzung bietet, zudem mit 91 Artikeln fast doppelt so umfangreich ist wie das deutsche Bundesdatenschutzgesetz (BDSG), und darüber hinaus zahlreiche Detailvorschriften enthält, bei denen sich die EU-Kommission an vielen Stellen ein Hintertürchen aufgehalten hat, um diese noch genauer zu regeln – und damit weitere Kompetenzen an sich zu reißen. Gerade letzteres monierte beispielsweise Bundesinnenminister Hans-Peter Friedrich (CSU) Mitte Januar im Berliner Tagesspiegel mit Blick auf den Verordnungs-Rohentwurf, welcher pikanterweise bereits gut einen Monat vor der eigentlichen Präsentation des Entwurfs im Internet kursierte:
„Die Vorstellung der Kommission, auf vielen Gebieten eigenes Recht an die Stelle von nationalen Vorschriften zu setzen, sehe ich kritisch.“ Friedrich betonte, man stünde erst am Anfang einer Verhandlungsphase, und die würde ihre Zeit brauchen.

Das es dauern kann, bis das EU-Rahmenwerk in trockenen Tüchern ist, lassen auch die zahlreichen Aufschreie aus Politik und Wirtschaft vermuten. Streitpunkt ist dabei weniger, welches Ziel die EU-Kommission anvisiert, als vielmehr, auf welchem Weg sie es erreichen will. So honoriert beispielsweise Annette Karstedt-Meierrieks, Leiterin des Referats Wirtschaftsverwaltungsrecht,
Öffentliches Auftragswesen, Datenschutz beim Deutschen-Industrie- und Handelskammertag (DIHK) in Berlin, das Bestreben der EU-Behörde, ein einheitliches Datenschutzniveau zu schaffen. „Ob das aber auf diese Weise und durch eine EU-Verordnung gelingen kann, ist fraglich.“ Zu detailliert formuliert sei der Entwurf, zu unterschiedlich handhabten die einzelnen Länder das Thema Datenschutz bisher. So kennen die meisten von ihnen etwa das deutsche Modell des betrieblichen Datenschutzbeauftragten gar nicht. „Es fehlen entsprechende nationale Öffnungsklauseln, die den Einzelstaaten einen gewissen Umsetzungsspielraum bieten.“ Auch würden gerade kleine Unternehmen durch die zahlreichen Neuerungen wie etwa verschärfte Dokumentationspflichten oder die Vorgabe, unternehmensinterne Datenschutzarbeitsanweisungen aufstellen zu müssen, völlig überfordert. „Unter Bürokratieabbau stelle ich mir etwas anderes vor“, konstatiert Karstedt-Meierrieks.

Aus Sicht der Wirtschaft biete der Verordnungsentwurf noch erheblichen Diskussionsbedarf. Beispiel Einwilligung: Im Arbeitsverhältnis soll sie künftig gar nicht mehr möglich sein, Direktmarketing hingegen ist nur mit ausdrücklicher Einwilligung erlaubt. Ebenfalls sehr problematisch: die Möglichkeit, im Falle eines Datenverstoßes bei dem entsprechenden Unternehmen eine Gewinnabschöpfung vorzunehmen: „Das ist völlig überzogen“, findet Karstedt-Meierrieks. Als falsches Signal wertet sie den Vorschlag der Kommission, nur für Unternehmen ab 250 Mitarbeitern einen betrieblichen Datenschutzbeauftragten (DSB) zu fordern. Damit müssten lediglich rund zwei Prozent der Unternehmen überhaupt einen solchen bestellen. Dies impliziert, dass die übrigen Firmenchefs dem Thema nicht soviel Bedeutung beizumessen brauchen. „Dem ist aber beileibe nicht so: Wenn es keinen DSB im Betrieb gibt, muss sich die Geschäftsführung, die bei Verstößen so oder so haftet, neben dem Tagesgeschäft auch noch um dieses Thema kümmern“, warnt die Juristin.
Auch Dr. Wolfgang Mörlein stellt der Entwurf inhaltlich über weite Strecken noch nicht zufrieden – wenngleich er den Ansatz der Kommission begrüßt, für international tätige Unternehmen im EU-Raum einheitliche Rahmenbedingungen beim Datenschutz zu schaffen. „Und auch das geplante one-stop-shop-Prinzip kommt uns sehr entgegen, da dann künftig nur noch eine Aufsichtsbehörde für uns zuständig ist“, so der Datenschutzbeauftragte der Münchener Rückversicherungs-Gesellschaft AG. Bisher musste das Unternehmen für jede europäische Niederlassung im europäischen Ausland mit der dortigen Behörde sprechen und jeweils unterschiedliche Meldevorschriften erfüllen.
„Doch durch eine Vielzahl von Dokumentations- und Informationspflichten zu Lasten der Unternehmen baut der Entwurf mehr Bürokratie auf als er an anderen Stellen abbaut“, kritisiert Mörlein, Mitglied in der Arbeitsgemeinschaft (AG) Datenschutz des DIHK. Und in manchen Punkten, in denen Regelungsbedarf bestehe, bleibe der Entwurf weiterführende Antworten schuldig, etwa was eine klare Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten insbesondere in der Lebens- und Haftpflichtversicherung betrifft oder auch die Einführung eine Konzernprivilegs.

„Und wenn letzteres nicht in dieses Regelwerk aufgenommen wird, ist damit zu rechnen, dass zusammengeschlossene Unternehmen in absehbarer keine Rechtssicherheit bekommen, was die Verarbeitung und Übermittlung personenbezogener Daten innerhalb eines Konzerns betrifft“, mahnt Rita Bottler. Die Datenschutzexpertin der IHK für München und Oberbayern bemängelt, der Verordnungsentwurf sei in vielen Punkten nicht bis zu Ende gedacht. „Einige Vorschläge sind zudem schlichtweg praxisfern, etwa das „Recht, vergessen zu werden“ in dieser Dimension auf alle Unternehmen auszudehnen und nicht nur auf Social Media-Anbieter.“ Abzulehnen ist auch die Vorgabe, jede Art von Datenschutzverletzung bei der Datenschutzaufsichtsbehörde anzeigen zu müssen. Bisher bezieht sich diese Verpflichtung nur auf Vorfälle, die eine schwerwiegende Beeinträchtigung für Rechte oder schutzwürdige Interessen Betroffener zur Folge haben. Bottlers Fazit: „Die EU hat den Bogen deutlich überspannt. Wir werden uns dafür einsetzen, dass die Regelungen praktikabler und die Unternehmen weniger belastet werden.“ Für Anfang März hat der DIHK die DIHK-AG-Datenschutz einberufen, um sich ausführlich den Verordnungsentwurf zu diskutieren.

 

Eva Müller-Tauber

 


 

„Erhebliche Auswirkungen für Unternehmen“

 

Firmenchefs sollten die Diskussion um die geplante Datenschutzverordnung im eigenen Interesse aufmerksam verfolgen, rät Thomas Kranig, Präsident des Bayerisches Landesamtes für Datenschutzaufsicht in Ansbach. Nur dann bleibe ihnen im Ernstfall genügend Zeit, angemessen auf die Neuerungen zu reagieren.

 

Der Verordnungsentwurf in seiner jetzigen Form bedeutet eine grundlegende Neuausrichtung des Datenschutzrechts in Europa. Wo sehen Sie besonderen Klärungsbedarf?

 

Bezogen auf Deutschland drängt sich die Frage auf, wie das System der Datenschutzaufsicht künftig funktionieren soll. Aufgrund der föderalen Struktur ist diese hierzulande derzeit aufgesplittet, neben dem Bundesbeauftragten gibt es noch 16 Landesbeauftragte für den Datenschutz sowie das Bayerische Landesamt für Datenschutzaufsicht als unabhängige Kontroll- und Aufsichtsstellen. Gemäß der Verordnung soll nun aber zusätzlich eine übergeordnete, unabhängige europäische Datenschutzaufsichtsbehörde geschaffen werden. Wie sich das Verhältnis dieser Aufsichtsbehörden untereinander in Zukunft genau gestaltet, ist offen. Die EU-Kommission soll ferner Ausführungsanordnungen zur EU-Verordnung erlassen dürfen, die dann auch die unabhängigen Kontroll- und Aufsichtsbehörden binden. Das bedeutet eine kraftvolle Kompetenzerweiterung der Kommission zulasten der Mitgliedstaaten und deren Aufsichtsbehörden...

 

...die gleichzeitig aber zum Teil noch mehr zu tun bekommen dürften, wenn künftig nur noch Unternehmen mit mindestens 250 Mitarbeitern einen betrieblichen Datenschutzbeauftragten (DSB) stellen müssen.

 

Sollte es wirklich soweit kommen, dass der Schwellenwert zur Bestellung eines DSB derart angehoben wird, wäre das sicherlich der Fall. Denn vermutlich werden Unternehmen, bei denen kein DSB notwendig ist, diesen dann abschaffen oder erst gar nicht bestellen. Das wiederum würde dazu führen, dass sich der Datenschutz in der deutschen Wirtschaft im Vergleich zu heute stark verschlechtert. Schließlich werden die Datenschutzbehörden kaum in der Lage sein, die Arbeit der DSBs, unserer natürlichen Verbündeten im Einsatz um die Einhaltung des Datenschutzes in den Betrieben, angemessen zu übernehmen – es sei denn, ihr Personalbestand würde um ein Vielfaches aufgestockt. Und auch das wäre aus meiner Sicht nur eine suboptimale Lösung.

 

Also ein großer Schritt weg von der Selbstkontrolle hin zu einer verstärkten staatlichen Kontrolle verbunden mit einem erhöhten und kaum zu bewältigendem Bürokratieaufwand für die Aufsichtsbehörden?

 

Das hängt davon ab, welche Kompetenzen den Datenschutzbehörden in den Mitgliedsstaaten nach der EU-Verordnung verbleiben. Sollen diese künftig nur noch als „Beschwerdebearbeitungsstellen“ fungieren, könnten sie die Aufgaben sicher erfüllen. Sollen sie aber weiterhin wie bisher in Deutschland auch anlasslose Kontrollen durchführen, würde der Wegfall der Selbstkontrolle zu einem erheblichen Mehraufwand bei den Aufsichtsbehörden führen – wenn man nicht in Kauf nehmen will, dass sich das Datenschutzniveau weiter absenkt.

Wie steht es mit den Unternehmen?

Ich gehe davon aus, dass die Datenschutzverordnung auch für sie erhebliche Auswirkungen haben wird. Zum einen müssen die Mitarbeiter mit den neuen Regelungen vertraut gemacht, also geschult werden. Zudem werden die Firmen wegen der geplanten Änderungen beispielsweise bei den Benachrichtigungs- und Auskunftspflichten und durch das neue „Recht auf Vergessen“ ihre Arbeitsabläufe anpassen müssen.

 

Was raten Sie?

 

Die Unternehmer sollten die Diskussion über den Entwurf aufmerksam verfolgen und, sobald sich abzeichnet, welche Regelungen tatsächlich Bestand haben, die Arbeitsabläufe in ihren Unternehmen mit Hilfe der noch agierenden DSBs – so vorhanden – für die neuen datenschutzrechtlichen Anforderungen vorbereiten. Je nachdem, wie groß der zu erwartende Anpassungsbedarf sein wird, kann es sinnvoll sein, zudem über die Verbände darauf hinzuwirken, dass die Verordnung angemessene Übergangsfristen vorsieht.

 

 

 

Folgendschwere Neuausrichtung


Der Verordnungsentwurf enthält eine Vielzahl grundlegender Änderungen. Im Folgenden hat die IHK einige der zentralen Punkte samt Konsequenzen für Unternehmen zusammengestellt:


Verordnung statt Richtlinie
Im Gegensatz zu einer EU-Richtlinie gilt eine EU-Verordnung (EU-VO) unmittelbar für alle Mitgliedsstaaten. So lassen sich zwar wie von der EU-Kommission beabsichtigt leichter einheitliche Regelungen einführen. Weitere Folgen wären jedoch:
Die Staaten hätten keinen Spielraum bei der Umsetzung, um nationale Besonderheiten zu berücksichtigen.
Eine EU-Datenschutzverordnung würde jegliches ihr entgegenstehendes, nationales Recht – in Deutschland etwa das Grundgesetz über Spezialregelungen zum Datenschutz bis hin zum erst 2009 novelliertem Bundesdatenschutzgesetz (BDSG) und damit auch die bisherige Rechtsprechung hierzu – verdrängen.
Auch der Rechtsweg und damit der Rechtsschutz für Bürger würde sich ändern. Denn für Streitfragen gegen eine EU-VO ist der Europäische Gerichtshof zuständig. Allerdings kann der einzelne Bürger diesen in der Regel nicht anrufen.
Über eine Verordnung gingen weitere Kompetenzen von den nationalen Gesetzgebern auf die EU-Kommission über, die zudem im Rahmen der Verordnung die Möglichkeit hat, viele der 91 Artikel der EU-VO zum Datenschutz noch zu ergänzen. Zahlreiche dieser Artikel enthalten eine Rechtssetzungsermächtigung bezogen auf die EU-Kommission. Dieses Instrumentarium bietet letzterer die Möglichkeit, Detailregelungen zum Beispiel zur Datensicherheit vorzugeben und damit zusätzlich alle diese Bereiche noch detaillierter und kleinteiliger zu regeln (angefangen bei den Rechten Betroffener bezüglich Information, Berichtigung, Löschung, der Informationssicherheit, der Datenübermittlung in Drittländer bis hin zur Vereinheitlichung der Datenschutzaufsicht und der in diesem Zusammenhang verankerten Informationspflichten sowie den Rechtsmitteln und Sanktionsmöglichkeiten). Das hätte auch für Unternehmer weit reichende Konsequenzen.

Eva Müller-Tauber


Verbandsklagen wie im Wettbewerbsrecht
Die EU-Kommission plant, ein Verbandsbeschwerde- und klagerecht einzuführen. Damit dürften auch Vereine oder Verbände und nicht nur eigentlich Betroffene Datenverstöße anzeigen. Anders als im Wettbewerbsrecht – dort existiert diese Form des Klagerechts bereits – gibt es im Datenschutzrecht jedoch Aufsichtsbehörden, die mit kompetentem Personal neutral prüfen, ob ein Datenschutzverstoß vorliegt. Ein Wildwuchs analog dem Abmahnunwesen wäre verheerend, zumal der Imageschaden im Bereich des Datenschutzes, auch wenn ein Verdacht unbegründet ist, schwer wiegt.

Neues „Recht, vergessen zu werden“
Ein right to be forgotten (Art. 15) verpflichtet die Unternehmen dazu, Daten von Personen, die es allgemein zugänglich gemacht, auch an allen anderen öffentlich zugängigen Stellen im Internet, also etwa mittels Suchmaschinen zu finden und zu löschen. Die Regelung ist in seinem Anwendungsbereich nicht eingeschränkt und damit auf vieleKleingewerbetreibende und Mittelständer anwendbar, die bewährte Werbeinstrumentarien wie Produktbewertungen oder Gästebücher im Internet nutzen. Schwierig dürfte zudem sein, dass die Daten selbst bei einer Löschung oft technisch wiederhergestellt werden können. Damit wären diese Daten nicht im Sinne dieser Vorschrift gelöscht.


Schwellenwert für DSB und Strafmaß angehoben:
Die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) erst ab einer Größe von 250 Mitarbeitern lässt außer Betracht, dass die Unternehmen die zum Teil verschärften Bestimmungen dann ohne Hilfe eines Spezialisten umsetzen und einhalten müssen. Verbunden wird dies mit verschärften einheitlichen Befugnissen der Datenschutzaufsichtsbehörden, die europaweit einheitlich sind sowie verschärften Sanktionsmöglichkeiten. So kann es im Extremfall sein, dass ein Unternehmen bei einem Datenverstoß bis zu fünf Prozent seines Umsatzes als Strafe zahlen muss.


Erweiterte Dokumentations-, Benachrichtigungs- und Auskunftspflichten

Unternehmen sollen beispielsweise verpflichtet werden, Datenschutzarbeitsanweisungen („Policies“) vorzuhalten, die darüber Auskunft geben, wann Daten im Unternehmen verarbeitet und wie die Rechte Betroffener gewahrt werden. Zudem müssen Unternehmen die Voraussetzungen dafür schaffen, dass Betroffene ihre Rechte ohne technisch-organisatorische Hindernisse ausüben können (siehe etwa Online-Auskunft). Abgesehen davon, dass dadurch der technische Aufwand und die Kosten steigen, wird es in der Praxis schwierig werden zu prüfen, ob der jeweils Abfragende überhaupt derjenige ist, der er vorgibt zu sein, und damit legitimiert, die Daten abzufragen.


Neues Recht auf Datenportabilität
Betroffene sollen vom datenverarbeitenden Unternehmen eine elektronische und strukturierte Kopie ihrer Daten anfordern dürfen. Diese Kopie haben die Firmen dem Betroffenen in einem gängigen und weiterverarbeitbaren Format anzubieten, was für sie natürlich ebenfalls einen erhöhten Aufwand bedeuten würde.


Wirtschaft – Das IHK-Magazin für München und Oberbayern – 03/2012
 

DCAC8